Що таке GDPR: основні принципи, чи діє регламент в Україні та яким вимогам захисту даних має відповідати бізнес
З постійним розвитком цифрових технологій і збільшенням обсягів збирання та обробки персональних даних, виникають серйозні питання щодо конфіденційності та захисту особистої інформації користувачів. Щоб відповісти на ці виклики, в 2018 році було введено Загальний регламент про захист персональних даних (General Data Protection Regulation, GDPR). Тож, якщо ваша організація продає товари або надає послуги громадянам ЄС, вам необхідно дотримуватись вимог GDPR.
! Важливо: що правила GDPR поширюються на всі компанії, інтернет-сайти, комерційні та некомерційні організації, які опрацьовують особисту інформацію громадян Євросоюзу, незалежно від місця перебування та проживання.
Чому General Data Protection Regulation важливий українському бізнесу вже зараз?
Юрій Копишинський, CEO Webpromo
“Враховуючи диджиталізацію світу та все більше залучення споживачів в онлайн, персональні дані стали певною валютою, за яку борються найбільші корпорації світу, політики та хакери, аби мати вплив на вашу думку, ваші споживчі вподобання та навіть на прийняття рішень щодо важливих політичних процесів.
Культура персональних даних в Україні тільки зароджується, але, якщо бути чесними, то вона досить умовна або майже відсутня. Багато хто з вас зіштовхувався з дзвінками від незрозумілих компаній – до вас телефонують “ділки”, звертаються на ім’я і знають, де ви працюєте та на якій посаді. Так, умовно це заборонено робити законом, але фактично, наші персональні дані не захищені наразі від слова зовсім. Однак вектор на європейську інтеграцію, який ми підтримуємо, однозначно змінить підходи до зберігання даних та їх цінності.
Український бізнес має адаптуватись до нових реалій завчасно. Деякі сайти вже просять вас підтвердити згоду на обробку персональних даних, але це краплинка в морі.
Тому нас чекає новий виклик у роботі з даними, а точніше в їх шифруванні та зменшенні точності, до якої більшість українських онлайн-гравців звикли. Час адаптуватися, і той, хто почне підготовку раніше, матиме більше можливостей і переваг, як, наприклад, під час переходу на GA4”.
Якнайшвидший перехід на роботу відповідно до регламенту GDPR потрібний:
- софтверним компаніям, які продають програмні продукти замовникам із Європи;
- компаніям-субпідрядникам із обслуговування європейських комп’ютерних систем та баз даних;
- продуктовим IT-компаніям, зокрема розробникам мобільних додатків та ігор;
- маркетплейсам та інтернет-магазинам;
- комерційним організаціям, які обслуговують громадян ЄС: готелі, ресторанні комплекси та туристичні компанії;
- фінансовим організаціям, які обслуговують громадян Євросоюзу (банки, венчурні фонди, валютні біржі);
- клінікам, медичним центрам та лабораторіям;
- логістичним та транспортним компаніям, які надають послуги резидентам ЄС тощо.
Що передбачає регламент GDPR: які дані захищає та як він впливає на захист особистих даних?
GDPR (General Data Protection Regulation) – це 99 статей, які гарантують захист даних громадян Євросоюзу та призначені для компаній та організацій, які займаються збором та обробкою персональної інформації.
Насамперед слід зазначити, що з новою системою захисту суттєво розширилося трактування поняття персональних даних.
Тепер персональні дані – це будь-яка інформація, що стосується ідентифікованої фізичної особи (суб’єкта даних), за якою прямо або опосередковано можна її визначити. До такої інформації належить зокрема ім’я, онлайн-ідентифікатор та фактори, характерні для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної ідентичності цієї фізичної особи (п.1 ст.4). Також до персональних даних належать відомості, зібрані автоматично: геолокація, IP-адреса, веб-браузер, тип пристрою, пошукові запити, відомості про відвідувані сайти та публікації в соцмережах.
Окрім цього, представникам бізнесу нині слід розібратися ще у двох термінах – контролер даних (data controller) та оператор даних (data processor). Розрізнити їх нескладно – якщо ваша організація визначає цілі зберігання чи обробки персональних даних, вона є контролером. Якщо ж організація зберігає чи обробляє ці дані від імені іншої організації, вона підпадає під визначення «оператора даних». При цьому одна компанія може виступати в обох ролях одночасно.
Варто також розуміти, що GDPR регулює ще й здійснення компаніями моніторингу поведінки суб’єктів даних. Наприклад, відстеження резидента ЄС у мережі (зокрема використання cookies) або використання методів обробки даних для профілювання окремих осіб, їхньої поведінки чи ставлення до чогось.
Основні принципи GDPR та їх вплив на користувачів та компанії:
- Законність та прозорість
GDPR наголошує на необхідності законності, справедливості та прозорості обробки персональних даних. Це означає, що компанії повинні мати законні підстави для збору та обробки даних, повідомляти користувачів про цілі обробки та збирати лише необхідну кількість даних.
- Обмеження цілей обробки даних
Компанії повинні збирати персональні дані лише для зазначених цілей. Тобто компанії не можуть використовувати дані, які були зібрані для певного завдання, для іншої цілі без згоди користувача. Цей принцип надає користувачам більший контроль над тим, як їхні дані використовуються.
- Мінімізація обробки даних
Цей принцип означає, що компанії мають обробляти лише необхідний обсяг персональних даних для виконання визначених цілей. Тобто ви маєте оцінювати, які дані необхідні для досягнення мети та обмежувати збір і збереження зайвої і непотрібної інформації. Для користувачів це зменшує ризик порушення конфіденційності та зловживання даними.
- Точність та актуальність даних
Компанії повинні забезпечити, щоб дані були точними та оновлювалися при необхідності. Завдяки цьому користувачі мають право на виправлення неточних даних та можуть вимагати оновлення своїх персональних даних у разі необхідності.
- Обмеження зберігання даних
Цей принцип дещо пов’язаний із попереднім, однак тут йдеться про те, що GDPR встановлює обмеження щодо тривалості зберігання персональних даних. За регламентом, компанії не повинні зберігати дані довше, ніж це необхідно для досягнення визначених цілей. Після закінчення терміну зберігання дані повинні бути видалені або анонімізовані.
- Конфіденційність даних
Компанії зобов’язані забезпечувати належний рівень захисту персональних даних від несанкціонованого доступу, втрати або пошкодження. Для цього застосовують, зокрема, шифрування та анонімізацію даних.
Більше про вимоги GDPR – знайдете за посиланням.
Які права отримує суб’єкт даних, відповідно до регламенту GDPR?
Щодо своїх персональних даних клієнти, співробітники, ділові партнери, підрядники, учні, постачальники тощо мають такі права:
- отримувати інформацію про використання своїх даних;
- отримувати доступ до своїх даних: необхідно надати фізичним особам доступ до даних, що зберігаються (наприклад, надавши доступ до облікового запису або іншим ручним способом);
- вимагати виправлення своїх даних: фізичні особи можуть попросити вас виправити неточні дані;
- вимагати видалення своїх даних;
- вимагати обмеження обробки своїх даних: суб’єкт даних може попросити вас приховати свої дані або обмежити доступ до них. Однак це право застосовується лише в окремих випадках, наприклад, якщо користувача було неналежно проінформовано про цілі збору даних;
- просити про перенесення своїх даних: фізична особа може попросити вас передати свої дані до іншої організації;
- заперечувати: користувач може заборонити використання своїх даних для різних цілей, наприклад, для адресного маркетингу;
- вимагати не піддавати свої дані автоматизованій обробці: у GDPR передбачені суворі правила використання даних для визначення профілів людей та автоматизації рішень на основі цих профілів.
Залишилися питання? Відповідаємо на найпоширеніші
Як визначити, що веб-сайт відповідає вимогам GDPR?
Перше питання, яке потрібно собі поставити: “Чи збираються персональні дані на веб-сайті моєї організації?” Наприклад, на сайті вашої організації може бути контактна форма, в якій запитується ім’я та адреса електронної пошти. Якщо ви бажаєте надсилати електронні повідомлення з рекламою, додайте поле для прапорця “підписатися” та інформацію про цілі використання даних. Тільки якщо одержувач встановить цей прапорець, ви зможете використовувати персональні дані в маркетингових цілях.
Також чудово працює принцип доступності – вся отримана системою особиста інформація користувача міститься в його обліковому записі, і він має постійний доступ до своїх даних в особистому кабінеті. Так він може переглянути, виправити чи видалити персональні дані.
Моя організація знаходиться поза межами Європи. Чи потрібно дотримуватись вимог GDPR?
GDPR – це регламент, який захищає громадян ЄС. Якщо ваша організація співпрацює з громадянами ЄС або ви сподіваєтеся на це в майбутньому, вам необхідно дотримуватись цього регламенту. Окрім цього, правила поширюється як на захист громадян ЄС, які проживають у Європейському Союзі, так і на громадян ЄС, які мешкають в іншому місці.
Чи можна розсилати повідомлення з рекламою старим клієнтам?
Не все так просто. Спершу ви повинні переконатися, що ваші клієнти, навіть ті, з якими ви співпрацювали протягом багатьох років, дали згоду на використання своїх даних для маркетингу. Можливо, ви раніше отримали згоду і у вас є записи, що підтверджують це. Якщо це так, тоді ви можете продовжувати надсилати повідомлення з рекламою. Якщо ні, вам потрібно одержати згоду клієнтів. Для цього, наприклад, можна надіслати повідомлення вашим клієнтам з проханням перейти на ваш сайт та підтвердити оновлені правила використання даних.
Що буде у разі недотримання норм GDPR?
Вашому гаманцю буде боляче 🙁 Якщо серйозно, то за недотримання положень акта передбачені штрафи до 20 млн. євро або в розмірі 4% від річного доходу компанії (залежно від того, яка сума більша).
Чи введено принципи GDPR на законодавчому рівні в Україні?
Так. На початку літа 2021 року у Верховній Раді було зареєстровано законопроект №5628 про захист персональних даних. По суті документ оновлює чинне законодавство у цій сфері та впроваджує прогресивні європейські норми, що відповідають положенням Конвенції 108+ та GDPR.
Висновки
Основні принципи регламенту GDPR суттєво змінюють стосунки між користувачами та компанією. Для користувачів GDPR забезпечує більшу контрольованість над їхніми персональними даними, збільшує довіру до компаній та гарантує захист конфіденційності. Для компаній ж це більша морока, адже GDPR вимагає впровадження належних заходів безпеки, розробки політик конфіденційності та забезпечує відповідальність за обробку даних.
